Техническая информация
Для обеспечения автозапуска и распространения:
Модифицирует следующие ключи реестра:
- [<HKLM>\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce] 'wextract_cleanup0' = 'rundll32.exe <SYSTEM32>\advpack.dll,DelNodeRunDLL32 "%TEMP%\IXP000.TMP\"'
Вредоносные функции:
Запускает на исполнение:
- '%WINDIR%\Microsoft.NET\Framework\v4.0.30319\RegSvcs.exe'
- '<SYSTEM32>\schtasks.exe' /create /sc minute /mo 5 /tn aopo /tr "%HOMEPATH%\aopo\khgzat.exe %HOMEPATH%\aopo\fmxkdtwa.amc"
- '<SYSTEM32>\cmd.exe' /c schtasks /create /sc minute /mo 5 /tn aopo /tr "%HOMEPATH%\aopo\khgzat.exe %HOMEPATH%\aopo\fmxkdtwa.amc"
- '%APPDATA%\SombreGuild.exe'
- '%TEMP%\IXP000.TMP\khgzat.exe' fmxkdtwa.amc
Изменения в файловой системе:
Создает следующие файлы:
- %TEMP%\IXP000.TMP\khgzat.exe
- C:\Uninstall.ini
- C:\Uninstall.exe
- %HOMEPATH%\RegSvcs.exe
- %TEMP%\IXP000.TMP\cjyuhxq.gfo
- %TEMP%\IXP000.TMP\fmxkdtwa.amc
- %APPDATA%\SombreGuild.exe
- %TEMP%\$inst\5.tmp
- %TEMP%\$inst\4.tmp
- %TEMP%\$inst\2.tmp
- C:\ProductKeyExplorerPortable.exe
- %TEMP%\$inst\temp_0.tmp
- %TEMP%\$inst\7.tmp
Присваивает атрибут 'скрытый' для следующих файлов:
- %HOMEPATH%\aopo\khgzat.exe
- %HOMEPATH%\RegSvcs.exe
- %HOMEPATH%\aopo\cjyuhxq.gfo
- %HOMEPATH%\aopo\fmxkdtwa.amc
Удаляет следующие файлы:
- %TEMP%\$inst\temp_0.tmp
Перемещает следующие файлы:
- %TEMP%\IXP000.TMP\khgzat.exe в %HOMEPATH%\aopo\khgzat.exe
- %TEMP%\IXP000.TMP\fmxkdtwa.amc в %HOMEPATH%\aopo\fmxkdtwa.amc
- %TEMP%\IXP000.TMP\cjyuhxq.gfo в %HOMEPATH%\aopo\cjyuhxq.gfo
Другое:
Ищет следующие окна:
- ClassName: 'Shell_TrayWnd' WindowName: ''
